ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

Androidにアプリ改ざんが可能な脆弱性、9億台の端末に影響か

» 2013年07月04日 07時14分 公開
[鈴木聖子,ITmedia]

 モバイルセキュリティ新興企業の米Bluebox Securityは7月3日、Androidのセキュリティモデルに脆弱性が見つかったと発表した。正規のアプリケーションがマルウェアに改ざんされる恐れがあるといい、99%の端末が影響を受けるとしている。

 同社のブログによると、全てのAndroidアプリには、そのアプリが正規のものであることを確認するために暗号化署名が使われている。

 しかし、今回見つかった脆弱性を悪用すると、この暗号化署名を破ることなくAndroidアプリケーションパッケージ(APK)のコードを改ざんし、正規のアプリをマルウェアに変えることができてしまうという。しかも、この改ざんはアプリストアにも、端末にも、エンドユーザーにも気づかれることはないとしている。

HTCの電話アプリを改ざんしたデモ(Blueboxより)

 アプリの種類によっては、情報を流出させたりモバイルボットネットを作成したりできてしまうとBlueboxは解説する。特に端末のメーカーが開発したアプリケーションにトロイの木馬が仕込まれた場合、Androidシステムやアプリケーション、および保存されたデータにフルアクセスされ、実質的に制御されてしまう恐れがあるという。

 ブログには、この脆弱性を突いてHTC製のアプリを改ざんし、端末上のあらゆるパーミッションを取得できることを示したデモ画像も掲載された。

 この脆弱性は、「暗号を使ってAndroidアプリケーションを認証/インストールする方法における矛盾」に起因するとBlueboxは説明。Android 1.6がリリースされた時点から脆弱性が存在しており、過去4年の間に発売された約9億台の端末に影響する可能性があると指摘する。

 同社は2013年2月にGoogleへこの問題を報告し、各端末のメーカーからファームウェアアップデートが配信される予定だという。脆弱性についての詳しい情報は、7月末から8月にかけて米ラスベガスで開かれるBlack Hatで発表を予定している。

Copyright © ITmedia, Inc. All Rights Reserved.